Office 365 cloud-app

• Voeg uw werkruimtedomein toe aan Microsoft Office 365. Ga voor instructies naar Een domein toevoegen aan Microsoft 365 .
• Installeer PowerShell .

• Configureer ImmutableID—Office 365 gebruikt het ImmutableID- attribuut om gebruikers uniek te identificeren. Om SSO tussen Google en Office 365 te laten werken, moet elke Office 365-gebruiker een ImmutableID hebben en moet het SAML Name ID- attribuut dat tijdens SSO naar Office 365 wordt verzonden, hetzelfde zijn als de ImmutableID.

  De ImmutableID van een Office 365-gebruiker varieert afhankelijk van hoe de gebruiker is aangemaakt. Dit zijn de meest voorkomende scenario's:

  • Nog geen gebruikers in Office 365 — Als u Google wilt instellen om automatisch gebruikers aan te maken, hoeft u het kenmerk ImmutableID niet te configureren. Dit is standaard gekoppeld aan het e-mailadres van de gebruiker, de User Principal Name (UPN). Ga verder naar stap 1.

  • Als gebruikers zijn aangemaakt in de Office 365-beheerconsole, moet ImmutableID leeg zijn. Gebruik voor deze gebruikers de PowerShell-opdracht Update-MgUser om de ImmutableID in Office 365 in te stellen zodat deze overeenkomt met de UPN van de gebruiker.

    Update-MgUser -UserPrincipalName testuser@your-company.com -OnPremisesImmutableId testuser@your-company.com

    Je kunt Update-MgUser ook gebruiken om alle gebruikers in één keer bij te werken. Raadpleeg de PowerShell-documentatie voor de stappen.

  • Als gebruikers zijn aangemaakt via Microsoft Entra ID-synchronisatie, is ImmutableID een gecodeerde versie van de Active Directory objectGUID. Voor deze gebruikers geldt het volgende:
    1. Gebruik PowerShell om de ImmutableID van Entra ID op te halen. Bijvoorbeeld om de ImmutableID voor alle gebruikers op te halen en naar een CSV-bestand te exporteren:

       $exportUsers = Get-MgUser -All | Select-Object UserprincipalName, OnPremisesImmutableId | Export-Csv C:csvfile

    2. Maak een aangepast attribuut aan in Google en vul vervolgens het profiel van elke gebruiker in met hun Office 365 ImmutableID. Ga voor de stappen naar Een nieuw aangepast attribuut toevoegen en een gebruikersprofiel bijwerken . Je kunt het proces ook automatiseren met GAM (een open source opdrachtregelprogramma) of de API's van de beheerdersconsole .

    Voor meer informatie over ImmutableID kunt u de Microsoft-documentatie raadplegen.

1. Ga in de Google Admin-console naar Menu. Apps Web- en mobiele apps .

   Ga naar de web- en mobiele apps

   Voor deze taak moet u zijn aangemeld als superbeheerder .

2. Klik op 'App toevoegen'. Zoek naar apps .
3. Voer bij ' Appnaam invoeren' Office 365 in.
4. Wijs in de zoekresultaten naar Microsoft Office 365 en klik op Selecteren .
5. In het venster met details van de Google Identity Provider , selecteer je bij optie 2: Kopieer de SSO-URL, de entiteits-ID en het certificaat :
   1. Klik naast SSO-URL op Kopiëren en sla de URL op.
   2. Klik naast Entiteits-ID op Kopiëren en sla de entiteits-ID op.
   3. Klik naast Certificaat op Kopiëren en bewaar het certificaat.

      U hebt deze gegevens nodig om de installatie in Office 365 te voltooien.

Laat de Google Admin-console openstaan. Je gaat verder met de configuratie in de Admin-console nadat je de installatiestappen in de app hebt voltooid.

1. Open een incognitovenster van uw browser, ga naar de aanmeldingspagina van Office 365 en meld u aan met uw Office 365-beheerdersaccount.
2. Gebruik een teksteditor om PowerShell-variabelen te maken van de gegevens die je in stap 1 hebt gekopieerd. Dit zijn de waarden die je voor elke variabele nodig hebt:

   Variabele	Waarde
   $Domeinnaam	" uw-bedrijf.com "
   $FederationBrandName	"Google Cloud Identity" (of een andere waarde naar keuze)
   $Authenticatie	"Gefedereerd"
   $PassiveLogOnUrl $ActiveLogOnUri	"SSO-URL" (uit stap 1)
   $Ondertekeningscertificaat	"Plak hier het volledige certificaat" (van stap 1)*
   $IssuerURI	"Entiteits-ID" (uit stap 1)
   $LogOffUri	"https://accounts.google.com/logout"
   $PreferredAuthenticationProtocol	"SAMLP"

   * Zorg ervoor dat de variabele $SigningCertificate op één regel tekst staat, anders geeft PowerShell een foutmelding.
3. Gebruik de PowerShell-console om de opdracht Update-MgDomain uit te voeren en uw Active Directory-domein te configureren voor federatie. Raadpleeg de Microsoft PowerShell-documentatie voor de stappen.
4. (Optioneel) Gebruik de volgende PowerShell-opdracht om de federatie-instellingen te testen:

   Get-MgDomainFederationConfiguration -DomainName your-company.com | Format-List *

Opmerking : Als uw domein al is gefedereerd en u de federatie wilt wijzigen naar Google, voert u de volgende opdracht uit met dezelfde parameters als in de bovenstaande tabel:
Update-MgDomainFederationConfiguration

1. Ga terug naar het browsertabblad van de beheerdersconsole.
2. Klik op Doorgaan .
3. Op de pagina met gegevens van de dienstverlener :
   1. Vink het vakje 'Ondertekend antwoord' aan.
   2. Selecteer bij Naam-ID-indeling de optie Permanent .
   3. Kies voor Naam-ID een optie:
      • Als u een aangepast kenmerk hebt gemaakt om de Office 365 ImmutableID aan de profielen van uw gebruikers toe te voegen, selecteert u dat aangepaste kenmerk.
      • Als u geen aangepast ImmutableID-attribuut hebt aangemaakt, selecteert u Basisgegevens. Primair e-mailadres .
4. Klik op Doorgaan .
5. Klik op de pagina 'Attribuuttoewijzing' op 'Veld selecteren' en koppel de volgende Google Directory-attributen aan de bijbehorende Office 365-attributen. Het IDPEmail-attribuut is verplicht.

   Google Directory-attribuut	Office 365-kenmerk
   Basisgegevens > Primair e-mailadres	IDPEmail*

6. (Optioneel) Om extra koppelingen toe te voegen, klikt u op Koppeling toevoegen en selecteert u de velden die u wilt koppelen.
7. (Optioneel) Voer hier groepsnamen in die relevant zijn voor deze app:
   1. Voor groepslidmaatschap (optioneel) klikt u op 'Zoek naar een groep' , voert u een of meer letters van de groepsnaam in en selecteert u de groepsnaam.
   2. Voeg naar behoefte extra groepen toe (maximaal 75 groepen).
   3. Voer voor het attribuut 'App' de overeenkomstige naam van het groepsattribuut van de serviceprovider in.

   Ongeacht hoeveel groepsnamen u invoert, het SAML-antwoord bevat alleen groepen waarvan een gebruiker (direct of indirect) lid is. Ga voor meer informatie naar 'Over het toewijzen van groepslidmaatschap' .

8. Klik op Voltooien .

1. Ga in de Google Admin-console naar Menu. Apps Web- en mobiele apps .

   Ga naar de web- en mobiele apps

   Voor deze taak moet u zijn aangemeld als superbeheerder .

2. Klik op Office 365 .
3. Klik op Gebruikerstoegang .

4. Om een ​​service voor iedereen in uw organisatie in of uit te schakelen, klikt u op 'Aan voor iedereen' of 'Uit voor iedereen' en vervolgens op ' Opslaan' .

5. (Optioneel) Om een ​​service voor een organisatie-eenheid in of uit te schakelen:

   1. Selecteer aan de linkerkant de organisatie-eenheid.
   2. Om de servicestatus te wijzigen, selecteert u Aan of Uit .
   3. Kies er één:
      • Als de servicestatus is ingesteld op 'Overgenomen' en u de bijgewerkte instelling wilt behouden, zelfs als de instelling van de bovenliggende service verandert, klikt u op 'Overschrijven' .
      • Als de servicestatus is ingesteld op 'Overschreven' , kunt u op 'Overnemen' klikken om terug te keren naar dezelfde instelling als het bovenliggende element, of op ' Opslaan' klikken om de nieuwe instelling te behouden, zelfs als de instelling van het bovenliggende element verandert.

        Leer meer over organisatiestructuur .

6. (Optioneel) Om een ​​service in te schakelen voor een groep gebruikers binnen of tussen organisatie-eenheden, selecteert u een toegangsgroep. Zie Toegang tot services aanpassen met toegangsgroepen voor meer informatie.
7. Zorg ervoor dat de e-maildomeinen van uw Office 365-gebruikersaccount overeenkomen met het primaire domein van het beheerde Google-account van uw organisatie.

Office 365 ondersteunt zowel door de identiteitsprovider als door de serviceprovider geïnitieerde SSO.

Verifieer de door de identiteitsprovider geïnitieerde SSO.

1. Ga in de Google Admin-console naar Menu. Apps Web- en mobiele apps .

   Ga naar de web- en mobiele apps

   Voor deze taak moet u zijn aangemeld als superbeheerder .

2. Klik op Office 365 .
3. Klik in het gedeelte Office 365 op SAML-aanmelding testen .

   De app zou in een apart tabblad moeten openen. Als dit niet gebeurt, los dan de foutmelding op en probeer het opnieuw. Ga naar SAML-appfoutmeldingen voor meer informatie over het oplossen van problemen.

Controleer of de serviceprovider SSO heeft geïnitieerd.

1. Sluit alle browservensters.
2. Ga naar de aanmeldingspagina van Office 365 en meld u aan met uw Office 365-beheerdersaccount.
   Je wordt automatisch doorgestuurd naar de Google-aanmeldpagina.
3. Selecteer je account en voer je wachtwoord in.

Nadat uw inloggegevens zijn geverifieerd, zou de app moeten openen.

Als superbeheerder kunt u gebruikers automatisch aanmaken in de app. Ga naar Gebruikersaanmaak in Office 365 configureren voor meer informatie.